Anforderungen für Hersteller und Händler nach dem EU-Cyber Resilience Act
Mit der Verordnung (EU) 2024/2847, dem Cyber Resilience Act (CRA), hat die Europäische Union erstmals verbindliche Cybersicherheitsanforderungen für Hersteller und Händler von digitalen Produkten und vernetzten Geräten eingeführt. Ziel ist es, Sicherheitslücken zu reduzieren und den Schutz von Verbrauchern und Unternehmen zu verbessern.
Anforderungen an Hersteller
Hersteller von Hardware und Software müssen sicherstellen, dass ihre Produkte bereits bei der Entwicklung („Security by Design“) und während ihres gesamten Lebenszyklus gegen Cyberbedrohungen geschützt sind. Wichtige Verpflichtungen umfassen:
- Risikobewertung vor Markteinführung zur Identifikation von Schwachstellen.
- Regelmäßige Sicherheitsupdates und Behebung von Sicherheitslücken für eine definierte Mindestdauer.
- Dokumentation und Transparenz: Sicherheitsfunktionen, Schwachstellen und Updates müssen detailliert beschrieben werden.
- Meldepflicht: Sicherheitsvorfälle und schwerwiegende Schwachstellen müssen innerhalb von 24 Stunden an die EU-Behörden gemeldet werden.
- CE-Kennzeichnungspflicht: Produkte müssen die CE-Kennzeichnung tragen, um zu zeigen, dass sie den Anforderungen des Cyber Resilience Act entsprechen. Dies erfordert eine Konformitätsbewertung durch den Hersteller und gegebenenfalls eine Zertifizierung durch eine benannte Stelle.
Anforderungen an Händler und Importeure
Händler und Importeure müssen sicherstellen, dass nur CRA-konforme Produkte auf den Markt gelangen. Ihre Pflichten beinhalten:
- Überprüfung der Konformität der Herstellerprodukte.
- Sicherstellung von Updates während der vom Hersteller festgelegten Support-Dauer.
- Zusammenarbeit mit Behörden bei der Rücknahme unsicherer Produkte und der Meldung von Sicherheitsrisiken.
Konsequenzen bei Nichteinhaltung
Unternehmen, die gegen den CRA verstoßen, drohen erhebliche Geldstrafen – bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes. Damit setzt die EU klare Anreize für mehr Cybersicherheit in der gesamten Lieferkette.
Zeitplan für die Umsetzung
Der Cyber Resilience Act tritt schrittweise in Kraft. Die Verordnung wurde am 20. November 2024 im EU-Amtsblatt veröffentlicht und trat 20 Tage später, am 11. Dezember 2024, in Kraft. Hersteller und Händler haben eine Übergangsfrist von 36 Monaten, sodass die vollständige Umsetzung bis 11. Dezember 2027 erfolgen muss. Die Meldepflicht für Sicherheitslücken gilt bereits ab dem 11 September 2026. Unternehmen sollten sich frühzeitig vorbereiten, um den neuen Anforderungen gerecht zu werden und Haftungsrisiken zu vermeiden.